现代汽车继续通过自治的水平,所定义的汽车工程师协会(SAE)。这些定义已广泛采用整个行业和新兴汽车技术来衡量这种规模(图1)。

图1:一个汽车工程师学会的插图显示的自治水平。

走向满5级Autonomation越近,我们越驾驶任务和控制我们放弃高级驾驶员辅助系统(ADAS)技术在车辆。电子必须满足一定的标准,包括:

• 包含高质量的,没有缺陷组件和多年仍然没有缺陷
• 功能安全的方式操作
• 操作按预定的功能
• 是安全,防范网络安全攻击

确保所有车辆系统达到至少最低水平对于这些要求,在过去的几年里出现了几个标准。图2显示了不同类型的故障,由每个不同的标准。功能安全的ISO 26262标准的汽车行业涵盖了IC缺陷出席生产或在汽车的生命周期清单。ISO 21448标准更关注操作正确性看起来在系统内设备的功能,以确保它运行。ISO 21434标准指导网络安全风险管理整个硅生命周期。

图2:三个关键标准指导自主车辆的发展。

网络安全威胁建模

与景观功能安全风险本质上是静态的对于一个给定的函数,安全威胁的风景非常的动态网络安全攻击的类型和复杂性变化的整个生命周期内车辆。考虑到大多数汽车上市的时候,电子技术已经几岁,内置安全功能系统今天可能过时甚至在汽车投入生产。这是令人信服的理由来开发安全技术也非常动态和适应任何未来的威胁他们的自我。

汽车电子的网络安全是引导的ISO / SAE 21434规范“公路车辆——网络安全工程”,发表在2021年8月,并推荐使用方法如跨步,由Praerit加戈和罗兰Kohnfelder微软和/或滥用启发。

一个集成电路的核心网络安全威胁建模方法。几个现成的解决方案存在威胁建模,但在一般情况下,用户要做真正的工作完全致力于特定的解决方案,并坚持下去。这些解决方案的一些固定在步方法和框架,而另一些人则依靠威胁和资产和结构化的专有数据库(但不是标准化的)描述语言格式。

现实情况是,威胁建模是很困难的。它可以用来作为一种工具来帮助设计,并帮助设计团队更清楚地思考什么类型的他们可能会面临的问题。然而,没有实际经验的方式,系统工程级别的攻击,它可以是过于抽象。至关重要的是,团队参与这项工作真正理解的威胁环境和能够理智和冷静的风险评分某些场景。原因是威胁或风险得分太高可以蘑菇开发成本。相反,分数过低会挨饿基金和工程资源从一个迫切需要关注。总的结果是著名的开放式厨房窗户,triple-locked前门的场景。

其他艾滋病威胁建模可以是有益的在帮助模型攻击的其他方面——例如,一个攻击者的成本的一个特定的路线。攻击树提供这种能力,可能是有用的,如果他们是模块化的,可以结合在一种拼图提供非常有用的见解(图3)。在攻击树的最佳方式是个人参与团队谁真正了解实际情况的技术和它是如何被打破。

图3:汽车网络安全的跨过程的步骤。

威胁建模不应该是静态的:它不应该被允许去的。每个人都开始的地方,和时间投资在最初的威胁建模可能会随着时间的推移,支付股息,只要是由开发团队维护和坚持。不太可能会有一个全行业的威胁模型,然而个人oem厂商将有非常相似的模型,作为他们的供应商。未来的发展可能会看到进一步自动化,但这门学科仍将批判性思维之一。

Secure-CAV平台

连接和自主车辆(CAV)是由多个网络计算机。这些ecu(电子控制单元)支持广泛的功能和特性的车辆,从驾驶和动力总成控制连接性、传感、和身体模块。ecu通过车载网络互联,通常包括一个数据总线控制器区域网络(可以)。因此,现代汽车的一个例子Cyber-Physical系统(CPS)。

增加计算和连接能力ecu已经引入了新的网络安全挑战,可能会影响汽车和它的居住者的安全。有效的网络安全测试的车辆可以起到至关重要的作用在发现和解决安全漏洞。然而,测试一个真正的车辆(包括cyber-physical组件)本身安全和经济风险。因此,研究人员和从业人员往往依赖于测试环境(俗称台)揭露网络安全漏洞。有效的和高效的安全测试需要适当的应用程序和系统的测试方法。

的创新UK-sponsored Secure-CAV财团已经开发了一种多组分的试验台代表一个灵活和功能的车载实时架构环境试验训练、测试、验证和演示汽车网络安全解决方案。这个演示的目的是再现真实车辆的行为尽可能准确、忠实地(fidelity),同时也可重构,轻便,安全,便宜的构造。实验给出了网络安全的研究人员和工程师的综合安全评价作为车辆网络组件提供:

• 西门子在一个FPGA IP集成实现ECU行为监测
• 支持多组分的体系结构和一系列车载通信协议(包括可以和汽车以太网)
• “即插即用”功能,客户端ecu(这可能是远程信息处理单元,传感器、信息娱乐系统,客舱连接,和身体模块)
• 交通场景模拟器生成传感器数据和连接支持用例被证实的威胁
• 可重复的测试脚本的可配置性,一个接口的数据包注入和跟踪,支持攻击向量
• 从模拟传感器上获取的数据的数据仓库,车辆模拟器,可以/汽车以太网载荷,FPGA,并附加ecu可视化、测试校准,机器学习。存储库可以在云为远程或本地存储分析。

图4显示了Secure-CAV汽车网络安全实验。它包括一个汽车模拟器,车载网络模拟器,现场可编程门阵列(FPGA)系统中,一个物理网络,数据存储,一个真正的汽车的仪表板。大部分的车辆结构和CAN总线网络实现在虚拟环境中使用矢量独木舟网络模拟器。

图4:示威者架构图。

IP和异常检测软件Secure-CAV示范车辆监控协议和交易在硬件的最低水平。这是由非监督机器学习算法和统计分析,与输入来自南安普顿大学的专家。这是集成到FPGA技术,与两个车辆示威者考文垂大学开发的团队和网络安全专家铜马。一系列选择的现实威胁的行使,包括窃听设备采购和分析现有的车辆。

长寿命的汽车需要一个创新的网络安全方法。许多供应商和oem厂商不断致力于解决检测和减轻新的和即将到来的袭击。建模和测试的威胁可能是一个挑战,因为它经常需要做在系统级别而不是在组件级别。

Secure-CAV项目有一个证明基于硬件的安全技术,让汽车行业想要超越今天的威胁和未知威胁在未来,把行业到一个比目前更站得住脚的网络安全态势。

进一步确保网络安全检测和减排技术充分测试在不同的条件和情况下,开发人员可以从Secure-CAV完全数字域的物理演示与西门子铺360平台,可在数字环境模型和模拟完整的车辆系统。电子系统的一个完整的数字双可以创建,使一个非常全面的真实的数据应用。这个真实的数据,可以对车辆系统相当于数百万英里在不同条件下驱动。这种方法意味着高保真模型数字双环境给结果相当于将看到在跑道上,和数字模型允许容易探索更多的角情况下使用场景比物理世界的可能。

总结

当我们努力向全5级自治,汽车系统开发和认证在供应链将会改变。采用最新的工具和技术确保新的汽车电子系统都是针对当今网络攻击者和安全的未来。没有先进的嵌入式分析技术,汽车ICs仍将是一个黑盒子,因此很难确定车辆系统的整体健康减少车辆的整体可靠性。